
IANS/Artico 報告指出,CISO 對其工作滿意度百分比,在過去十二個月掉了十個百分點。
文/John Mello Jr·譯/柳百郁
年度研究報告指出,職務上新近與延展要求帶來的日益焦慮,致使許多 CISO 考慮轉換跑道。由 IANS Research 與 Artico Search 所作的 CISO 2023-2024 狀態報告發現,有 75% CISO 對工作轉換持開放態度,較上一個報告區間多了八個百分點。
這份針對美國與加拿大各大產業與公司型態、調查 663 位 CISO 與 100 場以上非結構化訪談的報告還發現,對其職務與公司感到滿意的 CISO,這段期間掉了十個百分點,有 64%。
[ 熱門精選:SEMI 攜手半導體供應鏈 提升資安實力 ]
「滿意度在過去幾年逐步增加,但去年降了下來。」 IANS 研究調查主管 Nick Kakolowski 如此表示。「去年,由於新頒布的 SEC ( 美國證券交易委員會 ) 法規與由於資料外洩 CISO 個人遭到究責,大幅加深 CISO 壓力。」
去年七月,SEC 宣佈上市公司必須在發現意外事件造成重大影響的四個工作日內揭露重大資料外洩。「SEC 公開這樣的裁決,動搖眾多產業的資安領導力。 」零信任網路安全公司 Menlo Security 的 CISO Devin Ertel 解釋道。「有鑑於這份裁決的語焉不詳,CISO 對於這些規則造成工作影響與可能遭到起訴的領域感到如坐針氈,因為一般來說眾所周知,資料外洩的整體影響,就算不用花上數年也可能耗費好幾個月,嚴格徹底調查後才能得知。」
CISO 論壇上的絕望與沮喪
Kakolowski 解釋,雖然 CISO 壓力與日俱增,回報卻非如此。「企業組織仍未找出如何提升 CISO 在組織裡的地位並給予相對的回報。」他如此表示。「這份工作越來越難,卻毫無獎勵。」
「如今 CISO 所處環境持續變化,個人面臨的訴訟處於空前絕後的高峰。CISO 因超出其掌控範圍的事務而面臨被起訴或遭指控的真實危機。」威脅情報防禦面管理平台 Interpres 策略長 Patrick Arvidson ( Pat ) 如此補充說明。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
自動化合規與風險管理平台製造商 CyberSain 創辦人暨創新長 Padraic O’Reilly 從 IANS 調查中觀察到,這種不穩定性顯然對 CISO 不利。「有限的預算與無限的責任並非最佳公式。」他表示。
「所有相關人員的激勵舉措持續不一致而且依然如此。CISO 陷入某種決策層困境:與法律與財務長的接觸太少、斷斷續續在董事會露面,而且都是非既定模式。一進入 CISO 論壇你就會發現,那不只是一些絕望與抱怨。報告中呈現的也是如此:許多人已經踏出離開的第一步。 」
CISO 必須承擔數位風險
這份報告還指出,儘管擔負高層職責,CISO 在其企業組織內仍難以得到某種程度的認可。報告發現整體僅 20% CISO 且其中 15% 上市公司 CISO 被視為執行高層,但只有 50% 每季參與高層董事會。「我們發現 CISO 承擔數位風險的需求提升。」Kakolowski 表示。「企業營運有此需求,要求 CISO 擔下這樣的職務。但要 CISO 這麼做,他們就必需更廣泛接觸營運單位,並處於董事會層級。」
[ 熱門精選:生成式 AI 企業應用與導入現況 ]
「CISO 應能夠清楚說明網路在公司營運策略裡扮演的角色。若必須透過另一個組織部門報告,就很難作到這點,而且實際訊息最後也會被過濾或淡化。」全球性資料安全與備份軟體公司 Rubrik 的 CISO Michael Mestrovich 如此補充說明。
CISO 與董事會:找出共通語言
報告內容另一發現是,CISO 未得到足夠時間與董事會面談。調查報告中有 85% CISO 指出,他們的董事會應提供對企業風險容忍度的清楚指導方針供 CISO 採取行動,但僅 36% 這麼做。「我們發現已有部份董事會知道這種狀況並已有效改善,但整體而言,董事會要不就是缺乏這個層級該有的能見度。CISO 無法持續向董事會報告,或是 CISO 與董事會雙方無法說彼此的語言。」Kakolowski 表示。
GuidePoint Security 曾任 CISO 的 Brian Betterton 現任顧問一職,就其經驗來看,認為 CISO 未能從董事會得到足夠的引導。「除非那是一間成熟的企業組織,能在定義這些風險治理框架下理解並管理風險,否則 CISO 可能必須非常主動進行這些討論,可能甚至必須發起這些議題。」他說道。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
The post CISO:有限的預算與無限的責任 first appeared on CIO Taiwan.